Capítulo 11 


DoS - Denial of Service 
DDoS - Distributed Denial of Service 
DRDOS - Distributed Reflection Denial of Service 


Dos 


= Principio de funcionamento do DoS é o 
consumo dos recursos do sistema; 

= [em como objetivo tirar de atividade um 
serviço ou um servidor por completo; 

= Permite que um cracker deixe um sistema 
inutilizável ou consideravelmente lento para 
os usuários legítimos; 

= Podem explorar falhas dos protocolos ou 
utilizar força bruta para inundação (flooding). 


Dos 


= Locais 


= Remotos 


| DoS Remotos 


= Flood de pacotes 
a Ataques Diretos; 
a Ataques com Spoofing; 
a Ataques em Loop. 


s Excesso de conexóes em determinados 
Servicos; 


| DoS - Ataques Diretos 


= Flood de pacotes em que o atacante inunda 
o servidor com pacotes, utilizando o IP real 
de sua maquina. 


| DoS - Ataques com Spoofing 


= Flood de pacotes em que o atacante inunda 
o servidor com pacotes, utilizando uma 
técnica de geração de um IP de origem 
falsificado. 


| Dos - Ataques em Loop 


= Flood de pacotes utilizando IP Spoofing, mas 
com a característica de que o IP falsificado 
recebe o endereço igual ao do destino (alvo); 


| DoS - Ataques Diretos 


= Beer; 
= Kkill.c 


| DoS - Ataques com Spoofing 


= 1234; 

= Bloop.c; 
= Jolt.c; 

= Jolt2.c; 

= Nestea.c; 
= Newtear.c 
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A evolução dos DDOS é 
vista em atividade 
como do worn Mydoon, 
onde o conceito de 
Vormo agregado ao Ht 
DDOS mostra seu Máquina alvo 
poder. 


um ataque DDoS combinado com a técnica de worm 


| Ferramentas de DDoS 


E Fapi — 1998; 

= Blitznet — 1999; 

= [rinOO — 1999; 

= TFN (Tribe Flood Network) — 1999; 
= Stacheldraht — 1999; 

a Shaft — 1999; 

= TFN2K — 1999 


= Trank ) Windows 
= TEN 
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Maguinas 
Exemplo simples onde o ">=. `> => \,*_ 
crackor  ativava todos "aa Fa 
os zumbis diretamente, ee 
esse primeiro modelo =j! 
foi implementado na k GES 
ferramenta TFN. Máquina alvo 


Um ataque DDoS em 3 camadas. 
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Máquinas 

Exemplo mais arrojado. : Ë 6a 

onde o cracker ativava  ' : 


todos os zumbis através 
do uma ou mais máquinas 
de controle denominadas 
MASTER, Esse modelo 
foi implementado na 
ferramenta TFN2K. 


Um ataque DDoS em 4 camadas. 
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Máquina alvo 
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Todas as máquinas que 
receberam o TCP/SYN 
respondem para a máquina 
vítima com TCP/SYN-ACK 


Máquina alvo 





Todas as máquinas que 
receberam o ICMP Echo 
Resquest (Type 8) respondem 
para a máquina vítima com 


ICMP Echo Reply (Type 0) 


Máquina alvo 
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Todas as máquinas que 
receberam o datagrama UDP 
respondem para a máquina 
vítima com ICMP Type 3 


Máquina alvo 


| Contramedida 


= Estabelecer uma política de segurança rígida em 
relação as atividades dos usuários; 


= Configurar o roteador de perímetro para filtrar 
trafego recebido e enviado, controlando ataques 
com inundação de pacotes ICMP e TCP/ SYN; 

= Manter o ambiente atualizado para proteger a 
maquina de ataques vinculados a vulnerabilidade 
da pilha TCP/IP, que o S.O. utiliza; 

= Configurar o Firewall com política bem 
planejada, para evitar ataques DoS; 


